W telegraficznym skrócie takie wnioski z najnowszej analizy popularnego systemu konferencyjnego Zoom wyciągnęła ekipa The Citizen Lab. W dokumentacji czytamy, że Zoom używa 256 bitowych kluczy AES – tymczasem rzeczywistość okazuje się nieco mniej bezpieczna: W każdym spotkaniu Zooma, do szyfrowania/deszyfrowania audio i video używany jest pojedynczy 128-bitowy klucz AES, dzielony…

Dane dostępne są na tej stronie i dostępne do pobrania w PDF (po wyborze konkretnego kraju, który nas interesuje – np. Polska). W środku znajdziemy różne kategorie – np. parki, sklepy spożywcze, miejsca pracy, stacje transportu publicznego, itp: Dane są opóźnione o parę dni w stosunku do dnia dzisiejszego i pokazują…

Zoom stał się ostatnio jedną z najpopularniejszych platform służących do zdalnych spotkań/szkoleń/konferencji. Z bezpieczeństwem rozwiązania było zawsze różnie – już w 2019 roku informowaliśmy o możliwości nieoczekiwanego przejęcia kamery ofiary na systemach macOS: wystarczyło u siebie uruchomić konferencję oraz umieścić w źródłach strony HTML np. taki „obrazek”: <img src=”http://localhost:19421/launch?action=join&confno=492468757″/> i po…

Wielu z Was regularnie już ogląda materiały na sekurak.tv – bieżący harmonogram wydarzeń możecie zobaczyć tutaj. Dzisiaj (1.04.2020) wieczorem (20:00) Grzesiek Wypych na żywo zaprezentuje ciekawego buga (CVE-2019-7406): możliwość wykonania poleceń w OS jako root na wybranych modelach urządzeń TP-linka. Podatność nie wymaga wcześniejszego uwierzytelnienia. Bezpośredni link do streama tutaj. Na…

Dumpa znaleziono w na serwerze firmly C-Planet – dostarczającej usługi IT. Wygląda to trochę na serwer testowy ;-) choć niczego nie można być w tej sytuacji pewnym. Może to taka trochę testo-produkcja. W każdym razie z tajemniczej bazy o nazwie elec_registry wyciekło około 330 tysięcy rekordów danych osobowych, a można…

Jutro (02.04.2020, 20:00) startujemy kolejną edycję kursu o praktycznych zasadach dotyczących pracy zdalnej. To dwugodzinna praktyczna prezentacja (slajdy slajdami, ale nie zabraknie kilku angażujących Was demo na żywo), mówiona prostym dla każdego językiem. Zastanawialiście się czy macie bezpiecznie skonfigurowaną Waszą domową sieć WiFi? Nigdy nie mogliście się przekonać do managera…

Zacznijmy od nagród. W puli nagród mamy dla Was: Dziesięć naszych książek „bezpieczeństwo aplikacji WWW„ Pięć par skarpetek sekurakowych :) Dziesięć udziałów w zdalnym szkoleniu: bezpieczeństwo pracy zdalnej Dziesięć udziałów w najbliższym remote Sekurak Hacking Party Zasady konkursu? Prześlijcie z maila firmowego zdjęcie swojego home office oraz napiszcie jaką chcecie…

Informację niedawno podał Under the Breach. Chodzi o bazę składającą się z blisko 5 milionów rekordów (są w niej również dane osób zmarłych), zawierającą: imiona/nazwiska/daty urodzin/numer y ID, telefony czy adresy: Na początku informowano, że dane mogły wyciec z bazy rejestracji wyborców. Jednak stosowny urząd zaprzeczył. Inny w pewnym sensie…

Bezpośredni link do streamu dostępny jest tutaj. Startujemy o 20:00 (jeśli chcesz zobaczyć na bieżąco aktualizowany kalendarz kolejnych streamów na sekurak.tv zerknij tutaj) Tym razem Grzesiek Tworek (wielokrotny microsoftowy MVP czy prelegent na BlackHat) opowie w jaki sposób niewłaściwa konfiguracja usług systemowych Windows może prowadzić do przejęcia kontroli nad systemem. Czas…

Ruszamy z kolejną edycją zdalnego wydarzenia remote Sekurak Hacking Party. Spotykamy się on-line 7. kwietnia o godzinie 20:00. Jak zwykle będzie praktycznie i interaktywnie (te rozmowy w trakcie rSHP na chacie :) nie zabraknie też sesji Q/A. Tym razem będziemy mieć dla Was 3 tematy: 1. Bezpieczeństwo API REST –…

W zasadzie wszystko macie w tytule ;-) Wszystko jest sprawdzone, „zaakceptowane przez FDA”, ostatnie sztuki w magazynie. Kupuj pan, będziesz pan zdrowy. Czy na pewno to jest lekiem? Tak, oczywiście. Nawet zdemaskowanie ewidentnego kłamstwa niebyt zbija z tropu zawziętych pracowników telesprzedaży (trzeba mieć stalowe nerwy lub coś poprzestawianego w głowie)….

Jeśli nie jesteście fanami internetowych reklam, być może kojarzycie rozwiazanie Pi-hole. W każdym razie niedawno załatano tutaj możliwość wykonania kodu w OS poprzez podanie w panelu webowym (trzeba więc być zalogowanym do urządzenia) odpowiednio złośliwej wartości adresu MAC . Jeśli ktoś chce mieć mały challenge, niech znajdzie problem w tym kodzie: Samo…

Jedni powiedzą – ciekawa, nietypowa podatność, inni stwierdzą – w świecie IoT można spodziewać się wszystkiego – nuda ;) W każdym razie zobaczcie na te podatności (wykorzystywane już w realnych kampaniach). W szczególności zwracam uwagę na jedną z nich. Urządzenia Draytek (Vigor2960/3900/300B) mają możliwość logowania się „normalnym” loginem i hasłem…

Jeszcze są ostatnie chwile na zapisanie się na nasze dzisiejsze zdalne wydarzenie: remote Sekurak Hacking Party. Co w planach? Dwie prezentacje, które przedstawialiśmy na koniec 2019 roku na konferencjach PWNing oraz What the Hack. Obie prezentacje dostały #1 w ankietach od uczestników :-) Agenda poniżej, a zapisy tutaj. Start 19:00,…

Niedawno uruchomiliśmy nasz kanał na YouTubie (sekurak.tv), gdzie jest cały czas dostępnych kilka świeżych materiałów. Co więcej – kolejne nasze LIVE streamy będą archiwizowane właśnie tam. Jak nie przegapić kolejnych wydarzeń? W tym miejscu będziemy na bieżąco aktualizować  informację o nadchodzących wydarzeniach. Co z tym hackowaniem Windows? Grzesiek Tworek (m.in….